首页
社区
课程
招聘
[原创]APT36(透明部落、ProjectM、C-Major)基本情况整理及样本分析记录
发表于: 2023-9-25 14:02 9557

[原创]APT36(透明部落、ProjectM、C-Major)基本情况整理及样本分析记录

2023-9-25 14:02
9557

其活动可以追溯到2012年。
攻击手法:带有嵌入宏的恶意文档。透明部落始终使用诱人的文档和文件名(通常称为蜜陷阱)来诱骗受害者在其端点上执行恶意内容。

武器
1、主要恶意软件是一种公开称为 Crimson RAT 的自定义 .NET RAT
2、其他自定义 .NET 恶意软件
3、一种称为 Peppy 的基于 Python 的 RAT
Transparent Tribe, COPPER FIELDSTONE, APT36, Mythic Leopard, ProjectM, Group G0134 | MITRE ATT&CK®
Crimson依赖于额外的模块负载来进一步丰富其特性集。这些模块包括键盘记录、浏览器凭证窃取、自动搜索和窃取可移动驱动器上的文件,以及两个不同的有效载荷更新模块。

几乎所有C2都属于Contabo GmbH托管服务提供商,该托管服务器在南亚地区的威胁组织中较受青睐,CrimsonRAT以及TransparentTribe其他武器都曾连接到Contabo GmbH

CrimsonRAT是透明部落从事间谍活动的主要工具,该工具主要功能如下:
1、管理远程文件系统
2、上传或下载文件
3、截屏
4、进行音频监控
5、监控摄像头
6、窃取文件
7、记录键盘
8、窃取浏览器中的密码

移动端的特征
武器:Tahorse RAT、CapraRAT

CrimsonRAT C2 Nmap Scan

CrimsonRAT 基础设施主要托管在越南 VPS 经销商 Pi NET LLC 租用的基础设施上。
在Pi NET LLC主机上使用的不同证书,其通用名称为WIN-L6BUPB5SQBC(Pi NET LLC 的已知 IP 范围:503K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1k6h3q4E0i4K6u0V1j5%4W2E0M7Y4g2Q4x3V1k6A6L8$3y4K6i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8Y4m8A6L8X3g2@1i4K6u0r3f1r3W2Q4x3U0f1J5x3p5&6q4g2q4)9J5y4e0t1H3e0p5I4o6i4K6t1#2x3U0m8d9j5h3&6Y4k6i4x3`.)

宏:
这些文档通常嵌入恶意 VBA 代码,有时使用密码保护,配置为丢弃包含恶意负载的编码 ZIP 文件。
图片描述
该宏将 ZIP 文件放入在 %ALLUSERPROFILE% 下创建的新目录中,并在同一位置提取存档内容。目录名称可以不同,具体取决于示例:
%ALLUSERSPROFILE%\媒体列表\tbvrarthsa.zip
%ALLUSERSPROFILE%\Media-List\tbvrarthsa.exe

可执行文件是 Crimson “瘦客户端”,它允许攻击者获取有关受感染机器的基本信息、收集屏幕截图、操纵文件系统以及下载或上传任意文件。
图片描述

无混淆
图片描述
run:
图片描述
图片描述
图片描述
图片描述
功能:MSIL/Crimson下载器

图片描述
图片描述


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回